2019年5月24日8:00
■セブン銀行
3段階で不正利用対策を実施、データ分析で傾向が明らかに
当社の不正利用対策の状況は、3段階で構えており、1つ目が申込内容の検証です。これは本人確認書類ではなく、申込時のデータの中身を見ます。2つ目がウェブ上で入力された内容、端末のアクセス情報になります。3つ目は、初めてインターネットバンキング等で取引をするときの内容になります。アクセス後は、お金の動きを見ていくという3段階で構えております。
取得している情報については、申込内容は一般的に、口座開設の申込書に書いてあるような内容です。アクセス情報は申し込んだ時間、ユーザーエージェントのタイムゾーンなどの情報が主力になっております。
データからわかる不自然さの兆候の例を知るために最初に行ったことを挙げると、まず大量の申し込みのデータをエクセルやアクセスに取り込んで行います。データのソートのようなものを使うだけで十分できますが、地域の集中、同一住所をここで分析していくことになります。氏名の類似性、特定の地域で、特定の年代の塊が出てきたりすることがあります。同一の時間帯で、近所での操作が非常に多かったり、その地域だけなぜかメールアドレスの体系が非常に似ていたり、ドメインが集中していることがあります。あと、まったく違う口座名義なのに携帯電話番号が重複していたり、同じ固定の電話番号が入っているなど、不自然さを見ていきます。一人一人を見ているとなかなか気づかないのですが、まとめて見ると重複していることがあります。こうして全部を重ねてソートしていくと、特定の地域、エリアが見えてきます。それには共通点があり、悪意がある人は偽造の本人確認書類を持って郵便局に受け取りに行きますので、自分の年齢に近いと思われる前後5歳ぐらいの年齢になっていることが見られます。
そうして見つけたデータの追跡調査をしてみると、目で見つけたもののだいたい9割が不正な口座であるため、目で見たり、単調で、シンプルな作業を行うだけでも不正は入り口で見つけられることがわかりました。
これらの確度を上げるために、世の中にはいろいろなサービスがあり、電話番号の履歴、使用状況を調査するようなサービスがあります。そういうサービスを使って調べていくと、意外と電話番号は欠番で、申し込みの時点から使えない番号が書かれていたり、データ通信専用の電話番号が申込書の記入欄に書かれていたりするケースがあります。
IPアドレスも調べていくと、日本だけでしか当社はサービス提供していないにもかかわらず海外からのIPアドレスからのアクセスが多い場合があったりします。また、金融ISACでは、金融機関内で情報を共有するような枠組みがあるのですが、他社で不正送金に使われたIPアドレスからアクセスがあったりしています。これらを総合的に分析していくと、不正口座を作られたり、不正に使われる場所には偏りがあると思っております。セブン銀行で見ると、リスクの高いエリアに合わせて調べる度合いを変えたりしています。また、同一マンションに大量の申し込みがあるのが、1つの典型的な手口です。あと、同じ住所で異なる苗字、複数人での申し込みもあります。
インターネットのアクセス状況では、海外のプロバイダーを使った申し込みは少しリスクが高いと思っています。セブン銀行自体が日本国内でしかサービスを提供していない会社ですが、そこから見ると、海外のプロバイダーは少しリスクが高い取引になってくるだろうと思います。過去に不正に利用されたIPアドレスが再度検知する場合が多いなど、犯罪基盤になっているIPアドレスもあります。不正利用にて検知されたIPアドレスは蓄積し、既存データと突合させています。
これらを調べていくと、類似ですが、住所がバラバラなものが出てきました。これをピックアップして地図上で見ると徒歩圏内であり、いろいろな住所や地域が変わるようなところでの犯罪が増えてきているような印象があります。攻撃者側も意識してやっていると仮説を持って調べています。
不審な金融取引の典型は、お金を入れて、すぐ引き出す動きです。普通はATMにお金を入れてすぐ出金することはなかなかある行為ではありませんので、こういう特徴をとらえて、対応をしています。ATMの出金限度額はセブン銀行では口座を作るときにデフォルトで50万円に設定していますが、お金がまったくないのに引き上げる口座というのは、犯罪に使われることが多いです。50万円以上お金があるから、それ以上の出金限度額を設定するのが普通ですが、普通の行為を逸脱するようなものを見つけていくと、犯罪に使われる可能性の高いものが見つかると思います。
実際、犯罪の兆候があった場合、ほかの銀行からお金が送金される可能性が極めて高くなるので、いったん保留するような設定をかけて、プールして、送金元の銀行に確認してお金を返すような対応をしていきます。セブン銀行では、送金されるお金のうちの9割以上はいったんホールドできていると思います。
よく、「セブン銀行では不正対策のシステムがリアルで動いているから不正を未然に防げるのではないですか」という質問を受けます。われわれが調べたところでいうと、変な兆候があってから犯罪が起きるまでは、その当日に起こることは少なくて2割以下、ほとんどのものが翌日以降に犯罪に使われています。4年ぐらい前には、当日中が極めて多かったですが、直近ではほとんどが翌日以降です。当日中に不自然なものをとらえてなんらかの対処をしておけば、多くの犯罪は防げるというのが、今われわれが持っている仮説です。
例として、毎月1回しかお金の振込がないようなものも、時間軸を変えて調べていくと、いくつかの口座を経由してある口座にお金が集中していないか、マネーロンダリングのような動きがないかも見えてきます。従来はリアルな点で見ていたものを、時間軸を広げてお金の流れを線や面で見るようなかたちで捉えるような活動もしています。
被害発生後の対応から未然防止にシフトで成果
複雑なことをすると、担当者の個人的なところに偏りが出たり、職人肌になってしまうという課題もありますが、項目ごとにいろいろなものをスコアリング化しておりまして、ある点数を超えたら取引の制限を実施していいように運用しています。新しい担当者も3カ月から5カ月ほどトレーニングすれば、一人でほとんど運用できるような体制をとっています。実際のスコアリングは点数制にしており、何点を超えたら口座を止める、お金の保留設定をするかたちになっており、属人化をなくして、担当者レベルの平準化に努めています。
日々の申し込みの中でも毎日、新規の口座の申し込みに不正な取引があれば、類似の情報が過去になかったかを調査します。過去に類似の不自然さがあった口座で不正取引が起これば、それに関連する口座がほかにないかを調べます。そして、その情報が最新の申し込み情報に該当がなかったかどうか、漏れなくネガティブな情報を展開しながら、深掘りをし、未然に犯罪を防止しています。
2014年に私が着任して、2015年ぐらいからこれまでの施策を大きく変えたことにより、直近の2017年には疑わしい口座の発見率が1.8倍になりました。口座開設時で見つけるものは、3倍ぐらいに跳ね上がっています。口座が使われてから止めるものは、3割減になっています。まだ2018年度が集計できていませんが、口座開設の謝絶は2017年より下がっています。不正が起きてから止める件数も減っていて、だいぶ攻撃者から避けられてきているという手応えを感じています。口座買い取りサイトにおいても、セブン銀行の口座が買い取り禁止になっているほどです。
新しい施策を行う度、見えなかったものが見えてきたり、被害発生時の事後対応から発生前での未然防止対策に重点をシフトしたことにより、「犯罪を防いでくれてありがとうございました」というお礼の電話が増えてきました。同時に、現場担当者のモチベーションも向上し、より、使命感を持って臨んでもらえるようになりました。また、業務量の面においては、従来多くの人数をかけないとできなかった複雑なことが、より少ない人数でできるようになり、業務最適化の実現にも繋がりました。われわれとしては未然防止に舵を切って、いろいろなシステムにも投資しましたが、全体で見るとコストは人件費の部分と合わせてみると効果が出ています。
金融犯罪対策にイノベーションを
セブン銀行として最近新たに取り組んでいる事例を紹介します。不正対策をしていると、セブン銀行にモニタリングをお願いしたいというお話を何件かいただいておりまして、それを銀行本体で受けることはなかなか難しかったので、100%子会社のバンク・ビジネスファクトリーで、預金取引のモニタリングやフィルタリングを、セブン銀行のノウハウを移植するかたちで、事務作業と合わせてアウトソーシングで受けて、サポートさせていただいています。もともとこの分野は競うところではなくて、ノウハウを共有する場所です。
不正検知のプラットフォームとして、われわれが10年間やってきたノウハウ、ビッグデータ解析があり、世の中の環境も進んできました。また、スタートアップの知見を活かして、自らの不正検知のプラットフォームのシステムを作る形で取り組んでいます。イメージとして、リスクの高さによってデータを色分けしています。最初は手作業で行いましたが、それをシステム化して、スコアリング結果が表示されるようになっています。スコアリングで検知されたものを選択すると、詳細画面が出てきて、そのときの端末の状況や、お客様の属性情報、過去の状態、今回どんな要因でリスクが高いと評価されたのかなどを見ることができます。担当者の負荷を下げて、より少人数で回せるように、システム化のところでも自ら設計して取り組んでいます。
このような取り組みから、不正アカウントの開設の排除、不正防止の施策など、「どうやったらいいのですか」といったご相談が増えています。
一歩踏み込んだ取り組みとして、セブン銀行とISID(電通国際情報サービス)が、課題を解決するために合弁会社を作ろうとしています。1つには偽造の免許証が出回っていて、本人確認が難しくなっていますので、本人確認のプラットフォームを作って、より安全なサービスを提供したいと考えています。インターネットの不正検知も経験が必要であり、ビッグデータ分析のシステムを少しバージョンアップするかたちで、不正検知のプラットフォーム事業を提供します。モノだけ用意しても上手くいかないと思いますので、コンサルティングや業務支援のサービスも提供していきたいです。
これに追加するかたちで、規制のサンドボックス制度を通じて、関西電力の電気の設備情報などと、カウリスという情報セキュリティのスタートアップの力と、われわれ銀行の力を使って、情報セキュリティの分野で、より安全な仕組みを作って行く取り組みをしています。リアルとネットを組み合わせて、よりリスクを低減するような施策の取り組みも、チャレンジングなものとして行っていきます。
「不正利用への対応は、協力する場」
40社余りの金融機関のヒアリングや、ECサイトの担当者との意見交換を通じて感じたことは、攻撃の手口は常に巧妙化しているということです。実際に被害に遭った話も数多く聞きました。それを上司や経営の方にも伝えているかというと、対策が打てないため、伝わっていないケースが殆どであり、現場レベルで悩みを抱えているケースが多いのではないかと感じています。攻撃者の組織化・分業化というところも、銀行の方、ECサイトの方、カード会社の方も皆そういう印象を持たれているようです。
「不正利用への対応は、協力する場」であると皆様考えられています。ただ、もう一歩踏み出すきっかけがなかったり、話す相手がいなかったり、同業者と話していいのかという心のハードルがあると思います。それを少し飛び越えると、協力することが可能になります。攻撃情報を共有すると、犯罪を防げることが多いです。銀行の中でも、過去にインターネット不正送金に使われたIPアドレスを共有すると、そこから攻撃が来ているものがすぐに見つかって未然に防げたケースが多くあります。これは現在金融機関だけですが、業界を超えて、もしくは業界の中から始めていくと、犯罪を防ぐことができます。有効な対策や手法は、銀行でもそうですが、自社の中で持っていたりするものの、なかなかオープンにはしにくいですが、私の考えとしては、攻撃者に公開するわけではなくて、同じ業界の中で公開する分には全然リスクが高まるわけではありませんし、業界全体で未然防止に取り組めれば、攻撃者に狙われにくい環境が整ってきますので、ここはぜひ業界を超えたり、業界内でしっかり連携をとっていければと思っております。今ある情報の活用、社内に眠っている情報やシステムの活用として、実際、隣の部署で使っているシステムを知らずに新たに同じようなシステムを入れようとするケースがあります。例えば、セキュリティ部門ではなく、マーケティング、システム部が運用監視のために入れたものが不正対策に使えたりするケースもありますので、もう一度、社内に眠っている情報やシステム、それからお客様の声を社内で吸い上げられるような仕組みを作っていただければと思います。
※本内容は、2019年3月13日に開催された「ペイメントカー